利用Cisco交换机解决IP地址冲突、篡改MAC地址的完美方法
(管理除外)
2010-01-18 14:54:40来源: 作者: 【大中小】浏览:134次评论:0条
使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP 的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING 功能。
例子:
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service pas sword-encryption
service compress-config
!
hostname C4-2_4506
!
enable password xxxxxxx!
clock timezone GMT 8
ip subnet-zero
no ip domain-lookup
!
ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制
ip dhcp snooping
ip arp inspection vlan 180-181
ip arp inspection validate src-mac dst-mac ip
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause gbic-invalid
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause arp-inspection
errdisable recovery interval 30
spanning-tree extend system-id
!
!
interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交
换机
ip arp inspection limit rate 100 arp timeout 2
ip dhcp snooping limit rate 100 !
interface GigabitEthernet2/2
ip arp inspection limit rate 100 arp timeout 2
ip dhcp snooping limit rate 100 !
interface GigabitEthernet2/3
ip arp inspection limit rate 100 arp timeout 2
ip dhcp snooping limit rate 100 !
interface GigabitEthernet2/4
ip arp inspection limit rate 100 arp timeout 2
ip dhcp snooping limit rate 100 --More--
简单介绍一下这个解决方案的来历:
我是某个高校的网络管理员(假假的),我校所有学生宿舍区、教学区都使用了CISCO的设备接入了网络(有 8台 CISCO6509 , 2台CISCO 7613 ,30多台的CISCO 4506 , 二百多台的各系列的CISCO2950 ,学生入网数目 > 10000 ),与其他人的问题一样,我们的最大问题就IP地址冲突的问题,以前我们的解决办法是在2950上把IP与端口绑定,但是,在2004年的时候,我们又购买了一大批的CISCO2950T-48-SI,而这些设备不支持二层的ACL,所以上述的方法失效了。
就这个问题,我们和网络集成商、思科的技术人员讨论了许久的以求解决方案,虽然他们好几个都是什么CCIE的,但就是没有什么好的方案。直到在04年底我参加了思科在北京的用户大会,与思科总部的一个鬼佬CCIE讨论,他给出了上诉的解决方案。回来后立即实施,效果非常理想。
IP Source Guard
Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a
host's ability to attack the network by claiming neighbor host's IP address.
(注:可编辑下载,若有不当之处,请指正,谢谢!)
思科交换机的基本配置命令学习 CISCO交换机基本配置:Console端口连接 用户模式hostname# ; 特权模式hostname(config)# ; 全局配置模式hostname(config-if)# ; 交换机口令设置: switch>enable ;进入特权模式 switch#config terminal ;进入全局配置模式 switch(config)#hostname csico ;设置交换机的主机名 switch(config)#enable secret csico1 ;设置特权加密口令 switch(config)#enable password csico8 ;设置特权非密口令 switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;虚拟终端允许登录 switch(config-line)#password csico6 ;设置虚拟终端登录口令csico6 switch#exit ;返回命令 交换机VLAN创建,删除,端口属性的设置,配置trunk端口,将某端口加入vlan中,配置VTP:switch#vlan database ;进入VLAN设置 switch(vlan)#vlan 2 ;建VLAN 2 switch(vlan)#vlan 3 name vlan3 ;建VLAN 3并命名为vlan3 switch(vlan)#no vlan 2 ;删vlan 2 switch(config)#int f0/1 ;进入端口1 switch(config)#speed ? 查看speed命令的子命令 switch(config)#speed 100 设置该端口速率为100mb/s (10/auto) switch(config)#duplex ? 查看duplex的子命令 switch(config)#duplex full 设置该端口为全双工(auto/half) switch(config)#description TO_PC1 这是该端口描述为TO_PC1 switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2 switch(config-if)#switchport mode trunk ;设置为trunk模式(access模式) switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继 switch(config)#vtp domain vtpserver ;设置vtp域名相同 switch(config)#vtp password ;设置发vtp密码 switch(config)#vtp server ;设置vtp服务器模式 switch(config)#vtp client ;设置vtp客户机模式 交换机设置IP地址,默认网关,域名,域名服务器,配置和查看MAC地址表: switch(config)#interface vlan 1 ;进入vlan 1 switch(config-if)#ip address 192.168.1.1 255.255.255.0 ;设置IP地址 switch(config)#ip default-gateway 192.168.1.6 ;设置默认网关 switch(config)#ip domain-name https://www.doczj.com/doc/cc11404442.html, 设置域名 switch(config)#ip name-server 192.168.1.18 设置域名服务器 switch(config)#mac-address-table? 查看mac-address-table的子命令 switch(config)#mac-address-table aging-time 100 设置超时时间为100ms switch(config)#mac-address-table permanent 0000.0c01.bbcc f0/3 加入永久地址在f0/3端口 switch(config)#mac-address-table restricted static 0000.0c02.bbcc f0/6 f0/7 加入静态地址目标端口f0/6源端口f0/7 switch(config)#end
利用Cisco交换机解决IP地址冲突、篡改MAC地址的完美方法 (管理除外) 2010-01-18 14:54:40来源: 作者: 【大中小】浏览:134次评论:0条 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP 的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING 功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service pas sword-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8 ip subnet-zero no ip domain-lookup !
ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制ip dhcp snooping ip arp inspection vlan 180-181 ip arp inspection validate src-mac dst-mac ip errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id
如何解决IP地址发生冲突故障 很多朋友提到ip冲突怎么办ip冲突我们在做网络项目及监控项目时经常会遇到,这个问题我们在弱电VIP技术群中多次讨论到,太常见了,这里面是以实例的方式讲解了如何防止交换机冲突,我们一起来了解下。 随着网络的广泛应用,使网络规模不断扩大,相应的IP地址分配也在不断增多,IP地址冲突现象与日俱增,在一定程度上影响了网络的正常运行。维护网络稳定、高效运行,解决IP地址冲突问题,已成为网络管理中的重要任务之一,发生IP冲突的原因是什么呢?如何解决IP冲突的问题呢? 一、个人IP地址冲突解决方案 1、如果您使用的计算机的操作系统是:windows(windows7或window10都行)。 这里面需要用到命信令: ipconfig /release 释放IP地址。 然后还需要ipconfig /renew在重新获取一下。 我们来看下它们的如何解决: 可以点击左下角“开始”→“运行”,键入:ipconfig /release,点击“确定”,把ip地址释放出来。 这时网络会断开,因为ip地址已释放出来了。
再次点击“开始”→“运行”,键入:ipconfig /renew,点击“确定”,重新获取ip地址,即可解决IP地址冲突。 这时网络会重新连接,但ip地址已经与原来不一样了,重新分配到了可用的ip 地址连接网络了。 二、局域网IP地址冲突解决方案 方案一、逐一排查 这是最原始的方法,就是发生IP地址冲突时,在局域网内, 挨着每台计算机查看,找到与其冲突的计算机后修改IP地址就可 以了。不过这样比较耗时间,也不适合在大型局域网中使用,只适 合在很小的网络环境中采用。
思科交换机配置维护手册
目录
一、端口配置 1.1 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格,如:interface range fastethernet 0/1 – 5是有效的,而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。
见以下例子: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 5 Switch(config-if-range)# no shutdown 以下的例子显示使用句号来配置不同类型端口的组: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 3, gigabitethernet0/1 - 2 Switch(config-if-range)# no shutdown 1.2 配置二层端口 1.2.1 配置端口速率及双工模式
Cisco3550三层交换机配置与管理(实例) 一、3550日常管理命令 (1) 二、密码恢复 (1) 三、VLAN配置 (4) 四、SPAN监听配置 (12) 五、DHCP服务配置 (13) 1. 在3550上配置DHCP服务.. 13 2. C3550配置作为DHCP中继代理.. 15 六、流量控制 (17) 七、策略路由 (19) 一、3550日常管理命令 clear arp-cache清除ARP缓存 arp 192.168.100.22 000a.eb22.c1b5 arpa 绑定MAC和IP sh ip accounting output-packets显示统计信息(当然需要配置统计功能如:ip accounting-transits 3200) 通过IP追查交换机端口:CiscoWorks 2000 LMS网管软件的User tracking可以追查一个IP地址对应的端口。sh mac-address-table address 00e0.9102.afd0 显示这个MAC地址在哪个接口出来的;sh mac-address-table interface Fa0/20显示20端口上的MAC地址,如果只有一个,则可能连接一个电脑,如果有很多个条目,则可以连接一个交换机。sh cdp entry *显示邻居信息; 二、密码恢复 下面步骤也适用于 Cisco 层 2 系列的交换机比如 Catalyst 2900/3500XL,2940,2950/2955和层 3 系列的比如 Catalyst 3550 的密码恢复. 通过终端或带有仿真终端程序(比如 Hyper Terminal)的 PC,连接到交换机的 console 对于Catalyst 2900/3500XL 拔下交换机的电源线,然后按住交换机的 Mode 按钮,再重新插上交换机的电源线.直到端口 Port 1x 的 LED 熄灭之后释放 Mode 按钮.Catalyst
3750交换机(EMI) 简明配置维护手册 目录 说明 (2) 产品特性 (2) 配置端口 (3) 配置一组端口 (3) 配置二层端口 (5) 配置端口速率及双工模式 (5) 端口描述 (6) 配置三层口 (7) 监控及维护端口 (9) 监控端口和控制器的状态 (9) 刷新、重置端口及计数器 (11) 关闭和打开端口 (12) 配置VLAN (13) 理解VLAN (13) 可支持的VLAN (14) 配置正常范围的VLAN (14) 生成、修改以太网VLAN (14) 删除VLAN (16) 将端口分配给一个VLAN (17) 配置VLAN Trunks (18) 使用STP实现负载均衡 (21)
说明 本手册只包括日常使用的有关命令及特性,其它未涉及的命令及特性请参考英文的详细配置手册。 产品特性 3750EMI是支持二层、三层功能(EMI)的交换机 支持VLAN ?到1005 个VLAN ?支持VLAN ID从1到4094(IEEE 802.1Q 标准) ?支持ISL及IEEE 802.1Q封装 安全 ?支持IOS标准的密码保护 ?静态MAC地址映射 ?标准及扩展的访问列表支持,对于路由端口支持入出双向的访问列表,对于二层端口支持入的访问列表 ?支持基于VLAN的访问列表 3层支持(需要多层交换的IOS) ?HSRP ?IP路由协议 o RIP versions 1 and 2 o OSPF o IGRP及EIGRP o BGP Version 4 监视
?交换机LED指示端口状态 ?SPAN及远端SPAN (RSPAN) 可以监视任何端口或VLAN的流量 ?内置支持四组的RMON监控功能(历史、统计、告警及事件) ?Syslog功能 其它功能: 支持以下的GBIC模块: ?1000BASE-T GBIC: 铜线最长100 m ?1000BASE-SX GBIC: 光纤最长1804 feet (550 m) ?1000BASE-LX/LH GBIC: 光纤最长32,808 feet (6 miles or 10 km) ?1000BASE-ZX GBIC: 光纤最长328,084 feet (62 miles or 100 km) 配置端口 配置一组端口
本次主要讲解三层交换实现vlan间的相互通信: 本例配置模型图 命令行: swA配置命令: Switch>enable Switch#vlandatabase//进入vlan配置模式 % Warning: It is recommended to configure VLAN from config mode, as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode. Switch(vlan)#vlan 2 name TztA//在swA上创建vlan 2 名为TztA VLAN 2 added: Name: TztA Switch(vlan)#vlan 3 name TztB//在swA上创建vlan 3 名为TztB VLAN 3 added: Name: TztB Switch(vlan)#exit APPLY completed. Exiting.... Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#int f0/2 Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2 //将f0/2划分给vlan 2 Switch(config-if)#exit Switch(config)#int f0/3 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 3 //将f0/3划分给vlan 3 Switch(config-if)#exit Switch(config)#int f0/1 Switch(config-if)#switchport mode trunk//配置与三层设备连接的f0/1为trunk模式 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up Switch(config-if)#switchport trunk allowed vlan all //允许所有vlan通过f0/1端口Switch(config-if)#exit Switch(config)#exit Switch# %SYS-5-CONFIG_I: Configured from console by console Switch#wr Building configuration... [OK] Switch# (三层交换机)M sw命令配置: Switch> Switch>enable Switch#vlandatabase//进入vlan配置模式 % Warning: It is recommended to configure VLAN from config mode, as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode. Switch(vlan)#vlan 2 name TztA//在Msw上创建vlan 2 名为TztA VLAN 2 added: Name: TztA
思科2960交换机配置命令 交换机的端口工作模式一般可以分为三种:Access(普通模式),Multi(多vlan模式),Trunk(中继模式)。1、允许多个vlan的是multi模式,而不是trunk 模式。2、两个都设为trunk模式:一:如果在同一交换机上,则决不会在同一vlan;二:如果是两个交换机上,且两端口物理连接的话,共享vlan信息。但是这两个端口已经被使用,所以只能说,使用与这两个端口相同vlan的端口的计算机是同一虚拟局域网。3、access和multi模式下,端口用于计算机;trunk 模式下,端口用于交换机间连接。所以access和trunk没有可比性。 交换机基本状态: switch ;ROM状态,路由器是rommon hostname ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态 交换机口令设置: switchenable ;进入特权模式 switch#config terminal ;进入全局配置模式 switch(config)#hostname ;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口令 switch(config)#enable password xxa ;设置特权非密口令 switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令xx switch#exit ;返回命令
IP地址冲突解决办法讨论 一个网络组建起来往往是比较轻松、容易的,不过要想让网络始终能够高效、安全地运行好,却是一件非常困难的事情。暂不说各式各样的网络应用会让网络管理员忙个不停,单单IP地址冲突这一故障现象解决起来就非常麻烦的,因为造成地址冲突的因素往往比较多。不过,作为网络管理员来说,我们只要根据具体的故障现象进行依次排查,相信故障解决还是有规律可循的。 “摆脱”由设备安装引起的麻烦 当设备损坏或系统瘫痪时,相信很多人都会选择重换设备或重装系统,这时IP地址冲突现象就十分容易出现,这是为什么呢?出现这种奇怪现象,主要是上网用户安装设备不当造成的,这种现象在安装新网卡设备时更容易出现;因为当用户发现自己的网卡设备工作状态不正常,或不能使用时,往往没有按照正确的方法先将旧网卡设备从系统中卸载干净,这就造成了旧网卡设备虽然被移除了,但是它的配置信息包括上网地址等信息,仍然保存在计算机系统中,这时当我们尝试将旧网卡设备使用的上网地址,分配给新网卡设备地址时,就会发生IP地址冲突现象。 当我们不幸遭遇由网卡设备安装引起的IP地址冲突现象时,可以先想办法将残留在计算机系统中的旧网卡配置信息,全部清除干净;要做到这一点,我们可以先用鼠标右键单击计算机系统桌面上的“我的电脑”图标,从右键菜单中点选“属性”选项,弹出本地计算机的系统属性窗口,单击其中的“硬件”选项卡,进入“硬件”选项设置页面,继续单击该页面中的“设备管理器”按钮,弹出系统设备管理器界面; 虽然从该界面中无法直接找到被移走的旧网卡设备,但是打开该界面菜单栏中的“查看”下拉菜单,选择其中的“显示隐藏的设备”命令选项,这样一来Windows系统就会自动把那些处于隐藏状态的所有硬件设备都显示出来,这当然也包含旧网卡设备的“影子”了;选中旧网卡设备的“影子”选项,并用鼠标右键单击该选项,再执行快捷菜单中的“卸载”命令,那样的话Windows系统就会自动把残留在本地系统中的旧网卡驱动程序以及配置信息全部删除干净; 下面,我们只要按照正确的方法将新网卡设备插入到计算机主板中,同时为新网卡设备分配以前的上网地址,这个时候就能避免上网地址冲突的现象了。 当然,为了彻底“摆脱”由设备安装引起的麻烦,我们日后在更换新设备之前,必须按照正确的操作步骤,将旧设备从系统中彻底地卸载干净,而不能随意地对旧设备进行强行移除。 “摆脱”由自动分配引起的麻烦 在管理计算机数量比较少的局域网网络时,网络管理员可能会为这些计算机分配静态地址,一来可以方便管理,二来能够满足各式网络应用;但是,在规模相当大的局域网网络中,
IP地址冲突和解决办法 我们在连接局域网的时候,有时会发生IP地址冲突,那这是什么原因导致的呢 在同一个局域网里如果有两个用户同时使用了相同的IP地址,或者一个用户已经通过DHCP得到了一个IP地址,而此时又有其他用户以手工分配方式设定了与此相同的IP地址,这将造成IP地址冲突,并会令其中一个用户无法正常使用网络。 那么,应该怎样避免IP地址冲突这种情况的发生呢?我们可以从以下几个方面分析: 发生IP地址冲突的原因: 1、很多用户不知道“IP地址”、“子网掩码”、“默认网关”等参数如何设置,有时用户不是从管理员处得到的上述参数的信息,或者是用户无意修改了这些信息所导致的; 2、有时管理员或用户根据管理员提供的参数进行设置时,由于失误造成参数输错也会导致该情况发生;
3、出现得最多的是在客户机维修调试时,维修人员使用临时IP地址应用造成; 4、也不排除有人盗用他人的IP地址,造成IP地址冲突。 局域网IP地址冲突的解决方案: 方案一:逐一排查。 这是最原始的方法,就是发生IP地址冲突时,在局域网内,挨着每台计算机查看,找到与其冲突的计算机后修改IP地址就可以了。不过这样比较耗时间,也不适合在大型局域网中使用,只适合在很小的网络环境中采用。 方案二:MAC地址绑定。 1、检查本地计算机的MAC并绑定:通过在本地计算机系统中运行Winipcfg.exe或Ipconfig.exe,即可测知网卡的MAC地址。具体如下:在Win9X系统中依次单击“开始”——“运行”,在文本框中输入“Winipcfg”并回车后将弹出“IP配置”窗口。在下拉列表中选择“PCI Fast Ethernet Adapeter”,此时显
cisco三层交换机vlan间路由配置实例 下面以cisco3560实例说明如何在一个典型的快速以太局域网中实现VLAN。所谓典型局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机(不一定具备三层交换能力)。我们假设核心交换机名称为:COM;分支交换机分别为:PAR1、PAR2、PAR3,分别通过Port 1的光线模块与核心交换机相连;并且假设VLAN名称分别为COUNTER、MARKET、MANAGING…… 需要做的工作: 1、设置VTP DOMAIN(核心、分支交换机上都设置) 2、配置中继(核心、分支交换机上都设置) 3、创建VLAN(在server上设置) 4、将交换机端口划入VLAN 5、配置三层交换 1、设置VTP DOMAIN。 VTP DOMAIN 称为管理域。 交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。 COM#vlan database 进入VLAN配置模式 COM(vlan)#vtp domain COM 设置VTP管理域名称 COM COM(vlan)#vtp server 设置交换机为服务器模式 PAR1#vlan database 进入VLAN配置模式 PAR1(vlan)#vtp domain COM 设置VTP管理域名称COM PAR1(vlan)#vtp Client 设置交换机为客户端模式 PAR2#vlan database 进入VLAN配置模式 PAR2(vlan)#vtp domain COM 设置VTP管理域名称COM PAR2(vlan)#vtp Client 设置交换机为客户端模式 PAR3#vlan database 进入VLAN配置模式 PAR3(vlan)#vtp domain COM 设置VTP管理域名称COM PAR3(vlan)#vtp Client 设置交换机为客户端模式 注意:这里设置核心交换机为Server模式是指允许在该交换机上创建、修改、删除VLAN 及其他一些对整个VTP域的配置参数,同步本VTP域中其他交换机传递来的最新的VLAN 信息;Client模式是指本交换机不能创建、删除、修改VLAN配置,也不能在NVRAM中存储VLAN配置,但可同步由本 VTP域中其他交换机传递来的VLAN信息。 2、配置中继为了保证管理域能够覆盖所有的分支交换机,必须配置中继。Cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的ISL标签。ISL (Inter-Switch Link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置 ISL封装,即可跨越交换机进行整个网络的VLAN分配和进行配置。 在核心交换机端配置如下: COM(config)#interface gigabitEthernet 2/1 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/2 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/3 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk 在分支交换机端配置如下: PAR1(config)#interface gigabitEthernet 0/1
命令句法约定: 垂直竖线 ( | )分隔可选的,互斥的元素 方括号 ([ ])表示可选的元素 花括号 ({ })表示必选项. 在方括号内的花括号 ( [{ }] )表示可选元素中的必选项. 粗体表示要按字母所示原封不动输入的命令和关键词.即粗休表示由用户手工输入的命令. 斜体表示要为之提供实际值的参数. Show 指令: # Show run (显示内存配置文件,当你下了一条指令即在内存中,但若没有用write mem 则不会写入Flash,) # Show conf (显示Flash配置文件,每条指令一定是写入到Flash中的,这样突然停机配置文件才不会丢失) # Show session (列出到本地交换机的连接上所有打开的会话以及连接号) # show int vlan n (n 是编号,用来查看vlan n的信息) # show hardware 或 show version (L2 IOS上显示交换机的硬件或模块信息) # show clock (显示日期和时间) # sh mac-address-table {dynamic | static | secure} mac-address {Vlan vlan-id} {interface int1 [int2…int4] {protocol {ip | ipx | assigned}} (显示mac 交换表信息) # sh mac-address-table address 0000.1111.2222 (显示特定的pc在交换机的哪一端口) # sh int status (显示所有端口的状态信息) # sh int f 0/1 switchport (显示指定交换端口的信息) Switch# boot system filesname (从Flash文件系统内指定一个引导系统的os映像) Switch# vlan database 进入VLAN数据库模式
局域网IP地址冲突的原因及其解决方法
局域网IP地址冲突的原因及其解决方法 Internet是由世界各地的许许多多的计算机通过不同的方式连接在一起的。Internet上的每一台独立的主机都有唯一的地址与之对应,这就像实际生活中的门牌号码,每个房间都有一个独立的门牌号码与其它房间区分开来。一个地址对应一台主机。这样我们在因特网上想找哪一台计算机就可以根椐它的主机号很快地找到它。因此,计算机的主机号也称作因特网协议地址,简称IP地址。IP地址在网络上必须是唯一的。只有这样,彼此之间的联系才不会发生问题,不然,就会天下大乱了。 但是正是因为IP地址的唯一性,所以网络上的很多计算机,都会被一些黑客恶意的进行破坏或者窃 取一些隐私的资料。所以将我们的“门牌号码”隐藏起来,将我们所要面临的危险降低到最小。可是很多人都不知道如何来隐藏自己的IP地址,那下面的文章就会教你如何去操作。 其实,现在网络上有很多的软件都提供有“代理设置”选项,我们只需要简单设置一下就可以把我们真实的IP地址隐藏起来,取而代之的是代理IP。现在就说说隐藏真实IP的具体方法。 第一种方法是利用“QQ代理公布器XP”和“SocksCap32”两款软件来完成。首先我们运行QQ代理公布器XP,在“代理类型”处选中Socks5,并且勾选右侧“是否测试代理”选项,然后单击工具栏中的[读数据],程序返回代理IP信息,选择一个速度最快的代理IP,在其上单击右键,选“复制IP”命令。 接下来启动SocksCap32,进入主界面,点击[File]→[Settings]命令,打开设置框,把刚才复制的 IP地址粘贴到“Socks SerVer”文本框中,端口一般不用改变(视代理IP所支持的端口而定)。选择“Socks Version 5”,按[确定]返回程序主界面。 以QQ程序为例,点击SocksCap32程序中的[File]→[New]命令,在“Profile Name”文本框中随意输入“QQ”,然后点击[Browse]按钮指定QQ程序所在的目录,最后按[OK]按钮。在SocksCap32中双击QQ 图标,测试发现QQ能够正常登录,显示的IP正是刚才设置的代理IP。如果QQ不能登录,说明代理服务器响应慢,这时只要再选择一个响应速度较快的代理IP即可。 当计算机使用过程中出现“计算机探测到IP地址与您的网卡物理地址发生冲突”的错误时,您就无法使用网络。如果在网络用户连网的同时,建立IP 地址和MAC地址的信息档案,自始至终地对局域网客户执行严格的管、登记制度,将每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息 记录在网络管理员的数据库中。 如果知道了非法用户的MAC地址后,我们可以从管理员数据库中进行查寻,如果我们对MAC地址记录全面,我们便可以立即找到具体的使用人的信息,这会节省我们大量宝贵时间,避免大海捞针的烦恼。同时对于某些应用,应避免使用IP地址来进行权限限制,如果我们从MAC地址上进行限制相对来说要安全
CISCO三层交换机VLAN配置说明。 实验目标: (1) 第一步实现划分4个vlan,将相应port置入到vlan号中 (2) 第二步实现4个vlan间可以相互ping (3) 第三步实现sales,tech,manage不可以相互通讯,但允许和server通讯实现过程: 第 一步划分vlan如下: Switch#vlan data Switch(vlan)#vlan 10 name sales VLAN 10 added: Name: sales Switch(vlan)#vlan 20 name tech VLAN 20 added: Name: tech Switch(vlan)#vlan 30 name manage VLAN 30 added: Name: manage
Switch(vlan)#vlan 40 name server VLAN 40 added: Name: server Switch(vlan)# Switch(config)#int range fa 0/0 - 3 Switch(config-if-range)#switchport access vlan 10 Switch(config-if-range)#exit Switch(config)#int range fa 0/4 - 6 Switch(config-if-range)#switchport access vlan 20 Switch(config-if-range)#exit Switch(config)#int range fa 0/7 - 8 Switch(config-if-range)#switchport access vlan 30 Switch(config-if-range)#exit Switch(config)#int fa 0/9 Switch(config-if)#swit Switch(config-if)#switchport acce Switch(config-if)#switchport access vlan 40 Switch(config-if)#exit
Cisco交换机配置教程 Cisco交换机在网络届处于绝对领先地位,高端冗余设备(如:冗余超级引擎,冗余负载均衡电源,冗余风扇,冗余系统时钟,冗余上连,冗余的交换背板),高背板带宽,高多层交换速率等都为企业网络系统的高速稳定运行提供良好解决方案。这就是为什么大型企业都选择Cisco交换机做核心层和分布层等主要网络设备。 被过滤广告Cisco分为高中低端交换机,分别面向不同层次。但是多数Cisco交换机都基于Cisco自家的IOS( Internet Operating System )系统。所以设置都是大同小异。 让我们从零开始,一步一步教大家学会用Cisco交换机。 第一步:利用电脑超级终端与交换机建立连接 可进行网络管理的交换机上有一个“Console”端口,它是专门用于对交换机进行配置和管理的。可以通过Console端口连接和配置交换机。用Cisco自带的Console线,RJ-45端接入Cisco交换机Console口,Com口端接入电脑Com1或Com2口,必须注意的是要记清楚接入的是那个Com口。 按照步骤开启超级终端:开始-程序-附件-通讯-超级终端(图2) (图2) 点击文件-新建连接(图3)
(图3) 输入超级终端名称,选择数据线所连端口(注意选择Com口时候要对应Console线接入电脑的Com口):图4 (图4) 确定-点击还原为默认值(图5)
(图5) 确定后开启交换机 此时交换机开始载入IOS,可以从载入IOS界面上看到诸如IOS版本号,交换机型号,内存大小等数据 当屏幕显示Press RETURN to get started的时候按回车就能直接进入交换机 第二步:学习交换机的一些初级命令 首先我们要知道Cisco配置界面分两种,一种是基于CLI(Command-line Interface 命令行界面),一种是基于IOS(Internetwork Operting System 互联网操作系统)。暂时我们先探讨基于IOS的Cisco交换机。 基于IOS的交换机有三种模式,“>”用户模式,“#”特权模式,“(CONFIG)#”全局模式,在用户模式输入enable进入特权模式,在特权模式下输入disable 回到用户模式,在特权模式下输入configure terminal进入全局模式。在特权模式下输入disable回到特权模式下。 刚进入交换机的时候,我们处于用户模式,如:switch>。在用户模式我们可以查询交换机配置以及一些简单测试命令。在用户模式输入?号可以查询可以运行的命令。出现命令过多不能全部显示可以用Enter键逐行显示,空格键整页翻动。 对于一个默认未配置的交换机来说,我们必须对一些命名,密码和远程连接等进行设置,这样可以方便以后维护。
在局域网中如何处理IP地址冲突的现象 在局域网工作环境中,我们时常会遭遇IP地址被非法抢用的现象,这样的现象不但会影响局域网的运行稳定性,而且还会加大网络管理员的维护工作量。那么我们该如何有效避免IP地址被非法抢用呢?其实这是一个很复杂的问题,引起IP地址被非法抢用的原因有很多,我们必须针对不同的原因,从IP地址被非法抢用的源头出发,对症下药,以便标本兼治,彻底解决IP地址被频遭抢用现象! 1、人为设置引起的抢用 由人为设置因素引起的IP地址抢用现象最为常见,这种现象出现的主要动机通常包含以下几个方面:一是计算机系统在长时间运行之后,由于频繁地进行杀毒软件或应用程序的安装、卸载操作,或者由于上网用户自己操作不当,最终造成了本地计算机系统发生了瘫痪现象,不得已在重新安装计算机系统、设置上网参数的过程中,无意中引发了IP地址抢用现象,这种情形比较普遍,我们只要加强网络管理,就可以很轻松地避免由这种因素引起的IP地址抢用现象;第二个方面是局域网或Internet中的非法破坏者,带有明显的攻击性,有意制造IP地址抢用现象,以便破坏局域网或目标计算机的上网稳定性,比方说非法破坏者只要将自己的计算机IP地址设置成局域网网关的地址或其他核心设备的IP 地址,那么整个局域网可能就不能正常上网了;第三个方面就是一些别有用心的用户为了窃取某台特殊计算机的操作权限,而人为偷用该计算机的IP地址,从而引发地址抢用现象。 为了彻底解决由这种因素引起的IP地址抢用现象,许多网络管理员常常会采用将计算机IP地址与网卡物理地址相互绑定在一起的方法,那样一来指定的IP地址只能用于指定的网卡设备,即使非法破坏者偷偷抢用了指定IP地址,但他无法准确获得指定网卡设备的物理地址,那么他就不能使用指定的IP地址进行上网访问,那么指定IP地址自然也就不会受到非法抢用了,但是该方法也并不是解决该问题最好的办法,这是为什么呢? 笔者认为,将目标计算机的指定IP地址与网卡物理地址绑定在交换机上,虽然该IP地址日后就不能被非法用户抢用了,但是目标计算机的主人除了使用这个指定的IP地址能上网访问外,他同样还可以随意使用其他没有绑定过的IP 地址进行上网访问,甚至可以使用局域网中任意一个处于空闲状态的IP地址进行上网访问,这与目标计算机的主人有没有随之修改网卡物理地址没有任何关系,这也是说采用IP地址与网卡物理地址绑定的方法,只能防止非法用户抢用IP地址,但是并不能防止合法用户无意之中抢用局域网空闲IP地址,这种简单的地址绑定方法并不能彻底解决局域网中IP地址被频繁抢用的现象。 为了能够彻底地解决IP地址被频繁抢用的现象,我们需要在单位局域网的核心交换机上同时采取两种地址绑定操作,一种是将所有合法上网用户使用的IP地址与各自的网卡物理地址绑定在一起,另外就是将局域网中其他处于空闲状态的IP地址集中绑定到一个虚拟网卡设备的物理地址上,经过这样的设置操作,局域网中的任何一位上网用户只能在自己的计算机系统中使用自己的IP地址,而无法使用其他的IP地址进行上网访问。日后,局域网中要是有新用户需要上网时,必须向网络管理员申请IP地址,网络管理员只要在核心交换机中释放一个空闲的IP地址给新增用户就可以了。笔者经过反复实践,发现这种控制